雑記 > 無料ウイルス対策 > スクリプトウイルス

PR 国内メーカー東芝の直販 − 4万円台からノートPC安い!

js/jse/wsf/vbs拡張子でウイルス感染 無料対策で被害防止

このエントリーをはてなブックマークに追加

英語表記の ウイルスメール が無差別にドバドバとバラ撒かれてます! (T_T)ノ<メールに身に覚えがないのに… 英語の意味も分からんのに… 迷惑メール(スパムメール)と見抜けず気になって無視できないユーザーさんいる

【ウイルス付き英語迷惑メールの件名例】
Emailing: PIC[数字].JPEG
Emailing: PIC[数字].GIF
Emailing: PIC[数字].TIFF
Emailing: PIC[数字].PNG
eFax message from "03 [数字]-[数字] " - 2 page(s)
Dhl Commercial Invoice [数字] [数字]
NOTICE CUSTOMS CHARGES [数字] [数字]
Fwd: New Order [英数字]-17-[数字] Shipping by ”DHL”
Booking Confirmation
Notice Customs Charges [数字] [数字]
scanned copy
Photo from [人名]
Scan
Dec Month Bill
Tracking Sheet
Subscription Details
Payment Processing Problem
Voicemail from [数字] <[数字]> 00:[数字]:[数字]
Accounts Documentation - Invoices
Order Receipt
Amount Payable
DOC_[数字]
 FAX_[数字]
IMG_[数字]
LABEL_[数字]
ORD_[数字]
PHOTO_[数字]
PIC_[数字]
SCAN_[数字]
SHEET_[数字]
DOCUMENT_[数字]
Parcel Certificate
Fixed invoices
a image for you
a picture for you
a photo for you
a photos for you
Bill for papers 13-12-2016
Bill for papers 12-12-2016
Payment Confirmation
Order Confirmation [数字] Hexstone Ltd
Software License
Attached: Scan_[数字]
Copy: Receipt_[数字]
Copy: Document_[数字]
Emailing: Receipt_[数字]
File: Document_[数字]
File: Receipt_[数字]
File: Scan_[数字]
Firewall Software
Payment Receipt
Invoice-#[数字]
Order #[数字]
Attention Required
Scan from a Samsung MFP
 Invoices
Card Receipt
receipt
Recent order
Urgent Data
Scanned image from MX2310U@[ドメイン名]
Please Consider This
Please Pay Attention
Payment Information
E-Mailed Invoices Invoice_[英数字]
Message from KMBT_C220
 Urgent
[Scan] 2016-[数字] [数字]:[数字]:[数字]
For Your Consideration
Insufficient funds
DSCF[数字].pdf .tiff .png .gif .jpg
Message from ”RNP[英数字]”
Urgent Alert
Purchase Order No. [数字]
Vigor2820 Series New voice mail message from [数字]
Important Information
A/C [数字] - Overdue Invoice
It Is Important
Fax transmission: F-[数字]-[数字]-[数字]-[数字].zip
 scan paper
Payment confirmation [数字]
Emailing: LETTER [数字].pdf
Bill-[数字]
Photo from office
Scan from office
 Please note
Documents Requested
Re:Documents Requested
FW:Documents Requested
Delivery status
Abax UK Invoice [数字]
Invoice [英数字]
Receipt
Invoice for [数字] 21/11/2016
 Spam mailout
Your Amazon.com order has dispatched (#[数字]-[数字]-[数字])
Please find attached invoice no: [数字]
Virtual card
Emailing: _[数字]_[数字]
Order
Document from [人名]
Receipt [数字]-[数字]
unauthorized access
 BP Fuel Card E-bill [数字] for Account (rnd(B,S,F,H,A,D,C,N,M,L)}}[数字] 08/11/2016
Shell Fuel Card E-bill [数字] for Account (rnd(B,S,F,H,A,D,C,N,M,L)}}[数字] 08/11/2016
Account temporarily suspended
Your parcel has arrived
Order [数字]
Suspicious movements
Statement
Health Insurance
 Scanned image from MX2310U@[メールアドレスの一部]
Financial documents
Your shipment
Please verify
INVOICE [数字] ATTACHED -Thank you for your business
Order [数字] (Acknowledgement)
Parcel no. [数字]
Bill
Urgent payment request
 Flight tickets
Fax transmission: F-[数字]-[数字]-[数字]-[数字].zip
New Doc [数字]_[数字].pdf
part [数字]
Transactions
Your Invoice: SIPUS16-[数字]
Credit Card Details
Invoice No. [数字] for
Transaction declined
 Thank you very much
Document No [数字]
Voicemail from [人名] [数字] <[数字]> 00:[数字]:[数字]
Wrong tracking number
Payment history
Please review
 E-TICKET [数字]
Bill overdue
Package details
Your order has been proceeded
Wrong model
Budget forecast
Complaint letter
wrong paychecks
Your Order
Cancellation request
 contact information
Emailing - [数字]
Refund
Bill for papers [数字]-04-10-2016
Travel Itinerary
please sign
Parcel details
Emailing - [数字].pdf
Transaction details
Temporarily blocked
 Bill for papers [数字]-[数字]-09-2016
Neopost documents [数字]
Payment
Clients accounts
Updated invoice #[数字]
Transactions details
Photo from [人名]
Delivery #D-[数字]
Package #DH[数字]
Invoice INV[数字]
 Payment approved
Package
Receipt [数字] from The Music Zoo
Out of stock
documents
Tracking data
Tracking number
Express Parcel service
Re: request
Booking confirmation
 SCAN
financial report
Renewed License
Account report
Delivery Confirmation: [数字]
Equipment receipts
payment copy
Tax invoice
Confirmation letter
Budget report
 Invoice #[英数字]-2016
Agreement form
Suspected Purchases
Message from “CUKPR[数字]”
Invoice INV[数字]
Copy
August invoice
copies
Credit card receipt
old office facilities
 Travel expense sheet
Shipping information
flight tickets
bank transactions
paycheck
Transaction details
mortgage documents
Commission
monthly report
Voice Message from Outside Caller ([数字]m [数字]s)
 office equipment
Contract
Statement
Cancellation
Audit Report
Bill
Attached: Blank([数字])
Attached: Invoice([数字])
Attached: Receipt([数字])
 Emailing: Label
Copy: Receipt([数字])
Copy: Document([数字])
Blank 2
Message from ≪CUKPR[数字]≫
New Doc [数字]_[数字].pdf
File: Picture([数字])
File: Photo([数字])
File: IMG([数字])
 File: Receipt([数字])
Copy: Photo([数字])
Copy: IMG([数字])
Copy: INV([数字])
Copy: Picture([数字])
Attached: Photo([数字])
Emailing: INV([数字])
Emailing: Receipt([数字])
Budget Reports
please sign
 Business card
Confirmation letter
Emailing: IMG([数字]).jpg .png .gif .tiff
Emailing: Photo([数字]).jpg .png .gif .tiff
Emailing: Image([数字]).jpg .png .gif .tiff
Emailing: Picture([数字]).jpg .png .gif .tiff .pdf
Fw: New invoices
report
Paid bills
Sales charts
 Corrected report
Bank account record
Foundation plan
Self Billing Statement
Invoice
annual report
updated details
upcoming meeting
list of activities
Attached Image
 Re[数字]:
sales report
Financial statement
fixed invoice
invoice
new invoice
Business Analysis
Scanned image
company database
bank account report
 document
attached
Please review
Word Document
Profile
Fw:
Documents copies
Financial report
new invoice
Let's Emu!
FireflyFramer

請求書(invoice)とか送信者が自分自身のメールアドレスに偽装されてたり、もっともらしい無数の名目で文書や画像と称する添付ファイルを確認するよう誘惑します。

危険なスクリプトファイルがメールで

ここでもし ZIP形式の圧縮アーカイブを解凍・展開すると スクリプトファイル(拡張子 .js .jse .wsf .vbs) が登場したら100%危険! スクリプトウイルスです! Σ(´ω`)<こんな拡張子を持つファイルをメールで普段やり取りしない

Zzzzz/Aesir/Thor/Shit&シット/Odin/オディン&Locky/ロッキー&Zepto/ゼプト、Cerber(読み方 ケルベル/サーベル)感染経路! ウイルスメールの添付ZIP圧縮ファイルから拡張子を開くな危険 Windows Scriptファイルwsf、VBScript Scriptファイルvbs/vbe、JavaScript/JScript Scriptファイルjs/jse
白紙に巻物が描かれてるアイコンを 文書 と誤認するユーザーさんも?

【スクリプトウイルスの検出名】
ESET JS/Danger.ScriptAttachment JS/TrojanDownloader.Nemucod JS/Danger.DoubleExtension JS/TrojanDownloader.Agent
F-Secure Trojan:JS/Kavala Trojan-Downloader:JS/Locky Trojan-Downloader:JS/Kavala JS:Trojan.Downloader.Nemucod Trojan-Downloader:VBS/Kavala JS:Trojan.JS.Agent JS:Trojan.JS.Downloader Trojan-Downloader:JS/Dridex JS.TeslaCrypt.1.Gen JS.TeslaCrypt.2.Gen JS.TeslaCrypt.4.Gen JS:Trojan.Cryxos Trojan.JS.Downloader.Nemucod
Kaspersky HEUR:Trojan-Downloader.Script.Generic HEUR:Trojan.Script.Agent.gen Trojan-Downloader.JS.Agent
McAfee JS/Nemucod
Microsoft TrojanDownloader:JS/Nemucod TrojanDownloader:JS/Swabfex TrojanDownloader:JS/Crimace TrojanDownloader:JS/Jasobfus
Sophos Troj/JsDwnldr Troj/JSDldr JS/DwnLdr VBS/DwnLdr VBS/Agent
Symantec JS.Downloader JS.Downloader.D VBS.Downloader.Trojan
Trend Micro JS_LOCKY JS_LOCKYLOAD JS_NEMUCOD JS_CERBER VBS_LOCKY VBS_NEMUCOD HEUR_JSRANSOM JS_NEMU Mal_Nemucod Mal_NemuHeur Possible_Nemucod

スクリプトウイルスはWindowsパソコン以外で影響する?

これらスクリプトの動作環境は Windows XP/Vista/7/8/10パソコン なので、それ以外の Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー、テレビ、ゲーム機 では動かず攻撃対象から外れます。 ( ^^)b

スクリプトウイルスを送り込む目的は?

日本のWindowsユーザーさんがスクリプトウイルスをうっかり ダブルクリック して開くと、セキュリティソフト をスリ抜けて 身代金要求ウイルス Locky に感染し大事な文書や画像が破壊されたり、ネットバンキング不正送金ウイルス Ursnif の被害が確認されてます。

スクリプトウイルスが感染経路の脅威
Locky(.osiris .zzzzz .aesir .thor .shit .odin .zepto) , Cerber Ransomware(ケルベル/サーベル) , ランサムウェア Troldesh , ランサムウェア Bart , ランサムウェア TeslaCrypt
ネットバンキング不正送金ウイルス Ursnif(アースニフ) , ネットバンキング不正送金ウイルス Dridex , パスワードスティーラ Fareit , ワーム Phorpiex , トロイの木馬 Totbrick/TrickBot , ファイルレスなトロイの木馬 Kovter

抽象的で結局何もしない 『怪しいメールを開くな!』 が実現できない不安のあるユーザーさんはもちろんのこと、スクリプトウイルスの攻撃手法に対抗する効果的な 無料ウイルス対策 を3つ紹介します。 (^o^)ノ<よくあるセキュリティ製品の宣伝じゃない

【ウイルスメールで攻撃される流れ】
スパムフィルタをスリ抜ける場合もある迷惑メールを受信する
 ↓ 巷で見かける 『怪しいメールを開くな!』
添付されてる圧縮アーカイブをユーザーが展開・解凍する
 ↓
セキュリティ製品をスリ抜けたスクリプトファイルをユーザーがダブルクリックして開く
 ↓ 拡張子の関連付け変更でブロック! (初心者向け)
Windowsのシステムにある wscript.exe が起動してスクリプトが実行される
 ↓ Windows Script Host の無効化でブロック!
外部ネットワークからメインのウイルスをダウンロードする処理が発生する
 ↓ ファイアウォールでブロック!
新鮮すぎてセキュリティ製品が脅威と判定しないウイルスが起動する

ウイルスメール対策案1 − 拡張子の関連付け変更

Windows の設定を変更してスクリプトファイルに分類される 拡張子を「メモ帳」などに関連付け ておくと、うっかり時のランサムウェア被害100%防止の効果があります。 (゚ー゚)b<初心者向け〜♪

Windowsスクリプト
種類 拡張子 アイコン
JScript Script ファイル
JavaScript ファイル
.js JScript Script ファイル / JScript Encoded Script ファイル
JScript Encoded Script ファイル .jse
VBScript Script ファイル .vbs VBScript Script ファイル / VBScript Encoded Script ファイル / Windows Script ファイル
VBScript Encoded Script ファイル .vbe
Windows Script ファイル .wsf

【1】 Windows のコントロールパネルを開き、右上の検索ボックスに『ファイル拡張子』と入力して、[ファイル拡張子に関連付けされたファイルの種類の変更] や [あるファイルの種類を特定のプログラムでオープン] をポチッとな

【2】 一覧リストの中から、現在の既定プログラムが Microsoft ® Windows Based Script Host になってる拡張子5つをそれぞれ選択し、右側の [プログラムの変更...]ボタン をポチッとな

[Locky/Zepto/Odin/Shit/Thor/Aesir/Zzzzz、CryptXXX、CrypMic、Cerber感染回避対策] ウイルスメールの添付で拡張子を開く前提で関連付け変更 Windows Scriptファイル「.wsf」、VBScript Scriptファイル「.vbs」「.vbe」、JScript Scriptファイル「.js」「.jse」
ファイルの拡張子の関連付けを変更する

【3】 ファイルを開くプログラムの選択で「メモ帳」を選ぶ (一覧にないなら「ほかのプログラム 田」をクリック

ウイルスメール対策案2 − スクリプトの動作を変更

スクリプト実行環境 Windows Script Host(WSH) の動作を変更することで、確認ダイアログを表示してユーザーに判断を仰ぐようにしたり、機能させないよう完全に無効化できます。 (゚0゚)<費用かからず無料でできる♪

スクリプトの動作を担当するのは Windows のシステムフォルダに最初から用意されてる wscript.exe で、この実行ファイルを無理やり削除することなく レジストリにキーの追加と値の変更 を行ってください。 (^。^)<アンインストールはムリ!

《現在ログインしてるユーザーだけ適用》
HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings

《すべてのログインユーザーに適用》
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings

スクリプトを実行するか確認ダイアログを表示

ウイルスメール感染対策に信頼できないスクリプトの実行を確認するレジストリキーTrustPolicy UseWINSAFER
レジストリエディタでレジストリキーを作成して値を変更する

デジタル署名が付いておらず信頼できない発行元のスクリプトファイルを実行すると、ワンクッションとして [実行する(R)] or [実行しない(D)] を選択させる確認ダイアログ 『発行元を確認できませんでした。このソフトウェアを実行しますか?』(イメージ画像) が表示されます。

レジストリキー
項目 種類 値のデータ
TrustPolicy DWORD (32 ビット) 値
REG_DWORD
0=すべて実行する (デフォルト)
1=署名付き以外は実行するか確認する
2=署名付きのみ実行する
UseWINSAFER 0=AppLockerを無効にする
1=AppLockerを有効にする (デフォルト)

ウイルス感染一歩手前の確認場面になるので、被害を回避するスペシャルチャンスの誕生です!

スクリプトを実行できないよう Windows Script Host を無効に

ウイルスメール感染対策にWindows Script Host(WSH)を有効or無効にするレジストリキーEnabled
レジストリエディタでレジストリキーを作成する

確認場面を用意しても”開く”という使命感から実行するユーザーさんは現れるので、Windows Script Host(WSH) を無効化すると、スクリプトファイルを開いてもエラーダイアログ 『Windows Script Host へのアクセスがこのコンピュータ上で無効にされています。詳細については、管理者に連絡してください。』(イメージ画像) が表示されます。

レジストリキー
項目 種類 値のデータ
Enabled DWORD (32 ビット) 値
REG_DWORD
0=WSHを無効にする
1=WSHを有効にする (デフォルト)

無効にしてもWindowsパソコンの動作そのものに何ら影響しないので、パソコン素人で何かやらかしかねない家族がいるならぜひ。

動作確認方法

【1】 Windows のデスクトップ上で右クリックしてメニューから [新規作成(X)] → [テキスト ドキュメント] をポチッとな

【2】 ファイルの拡張子を 「新しいテキスト ドキュメント.js」 のように変更し起動する (中身は空のままでOK

ウイルスメール対策案3 − ファイアウォール

導入してる セキュリティソフト のファイアウォール機能を使い、スクリプトファイルのエンジンとなる wscript.exeアウトバウンド通信(送信側)をブロックしておくと、うっかり後に外部ネットワークからウイルス本体がダウンロードされる挙動を阻止できます。 (ファイアウォールを使ったウイルス対策の設定をより詳しく...

C:\Windows\System32\wscript.exe

ランサムウェア被害対策に送信側アウトバウンドの通信制御でウイルス本体ファイルがダウンロードされる動作を確認
スクリプトウイルスを開くと wscript.exe を介して通信トラフィックが… ぜんぶランサムウェアのデータ

ここでは Windowsファイアウォール が有効になってる場合に標準で利用できる セキュリティが強化された Windows ファイアウォール を使って無料で対処する方法です。

Windows Vista/7/8/10 に搭載されてる無料Windowsファイアウォール
Windows のコントロールパネルの [アクションセンター] または [セキュリティとメンテナス] へ移動
[セキュリティ(S)] → 「ネットワーク ファイアウォール」 で状況を確認できる

【1】 Windows のスタートメニューを開き、検索ボックスや [ファイル名を指定して実行...] に「wf.msc」と入力してエンターキー

【2】 ウィンドウ画面左側のツリーで「送信の規則」を選び、右クリックメニューから [新しい規則(N)...] をポチッとな

【3】 ステップごとに次のような規則を設定していく

規則の種類 [プログラム(P)]
プログラム [参照(R)...]ボタンで wscript.exe を選択
操作 [接続をブロックする(K)]
プロファイル チェックマーク3つのままで
名前 「wscript.exeのブロック」みたいな名前を

ウィンドウ画面右側の一覧リストに赤丸+斜線の無効マークが表示され wscript.exe を介した外部通信が遮断されます。

PR 《Yahoo!ショッピング特集》 Tポイントが抽選で当たる無料ポイントくじも!

アクセスキーワード統計情報
[Windows Script Host エラー] [Windows Script Host アンインストール] [Windows Script Host ダウンロード] [Windows Script Host 無効] [Windows Script Host インストール] [WSH インストール] [WSH 拡張子] [WSH ダウンロード] [WSH JScript] [WSH JavaScript 拡張子] [英語メール ZIPファイル ウイルス] [身代金型ウイルス 原因] [ランサムウェア 感染経路] [ランサムウェア 対策 メール] [身代金ウイルス 対策] [ウイルスメール 添付ファイル] [ウイルスメール 事例] [ヤマト運輸 ウイルスメール] [vbs ファイル 開く] [拡張子 vbs] [vbsファイル ウイルス] [VBScript Script ファイル] [.js 拡張子] [JScript Script ファイル] [wsf スクリプト] [wsf Windows] [wsf ファイル] [拡張子 wsf] [jse 拡張子] [Cerber 感染経路] [JS_LOCKY ウイルス] [VBS_LOCKY ウイルス] [Trojan-Downloader:JS/Locky ウイルス] [TrojanDownloader:JS/Nemucod ウイルス] [JS_NEMUCOD トレンドマイクロ ウイルスバスター] [JS/TrojanDownloader.Nemucod メール] [JS.Downloader ノートン] [迷惑メール 英語] [スマホ 迷惑メール ウイルス 蔓延] …

オンラインスキャン | マクロウイルス | ウイルス感染動画 | ファイル復旧フリーソフト | 迷惑ソフト一覧

雑記 > 無料ウイルス対策 > スクリプトウイルス


Copyright © 2016 Let's Emu!. All rights reserved.